概述
本文档描述了BAUER GROUP对NIS 2指令 (EU) 2022/2555及德国NIS2实施法 (NIS2UmsuCG) 要求的实施情况。涵盖BSIG §30(2)规定的所有十项风险管理措施,以及§32(报告义务)、§33(注册)和§38(管理层职责)的相关义务。
法律依据
NIS 2指令 (EU) 2022/2555 – 欧盟高水平网络安全措施。
BSIG §30(1): 关键和重要实体有义务采取适当、相称和有效的技术与组织措施,以避免信息技术系统、组件和流程的可用性、完整性、真实性和机密性遭到破坏。
范围
| 领域 | 描述 |
|---|---|
| 软件开发 | B2B软件、嵌入式系统和AI驱动工作流程的自主开发 |
| IT基础设施 | 服务器运营、网络基础设施和云服务 |
| 托管服务 | 面向B2B客户的IT服务和支持 |
| 内部IT | 内部运营的系统和流程 |
互补文档
| 文档 | 法规 | 重点 | URL |
|---|---|---|---|
| NIS2(本文档) | (EU) 2022/2555 / BSIG | 组织与运营 | nis2.docs.bauer-group.com |
| CRA | (EU) 2024/2847 | 产品与软件 | cra.docs.bauer-group.com |
| AI法案 | (EU) 2024/1689 | AI系统 | ai-act.docs.bauer-group.com |
文档结构
| 编号 | 章节 | §30 BSIG | 内容 |
|---|---|---|---|
| 1 | 概述 | — | 范围、法律框架、结构 |
| 2 | 风险管理 | 第1项 | 风险分析、ISMS、资产清单 |
| 3 | 事件管理 | 第2项 + §32 | 事件响应、报告义务 |
| 4 | 业务连续性 | 第3项 | 备份、灾难恢复、危机管理 |
| 5 | 供应链安全 | 第4项 | 供应商评估、安全要求 |
| 6 | 漏洞管理 | 第5项 | 扫描、补丁管理、安全开发 |
| 7 | 有效性审查 | 第6项 | 安全审计、KPI、渗透测试 |
| 8 | 培训与意识 | 第7项 | 强制培训、网络卫生 |
| 9 | 加密技术 | 第8项 | 加密、密钥管理 |
| 10 | 访问控制 | 第9-10项 | 认证、MFA、安全通信 |
| 11 | 治理 | §38 | 管理层职责、治理结构 |
| 12 | 合规矩阵 | 全部 | 完整要求映射 |